注意法律與作業管理 雲端風險管理是重要關鍵

在ISO國際標準之中，計畫（Plan）、實施（Do）、監督（Check）、改善（Act）是確保持續營運與降低可能風險的最佳實務架構。因此，組織在管理有關雲端服務的工作時，若能秉持PDCA的精神，並且融入在各項作業程序之中，就能夠降低風險並且讓服務品質更加地精進。在雲端控制矩陣中對於風險管理，也提出了以下五個重要的控制要求。

RI-01 風險管理之計畫

對於雲端服務可能隱含的風險，組織應發展或維持一個風險管理的框架，讓風險可被降低至可接受的水準。對於此項要求，可參考ISO 27001本文4.2.1所提到，依據組織營運、組織、所在位置、資產和技術等特性，定義出資訊安全應受到適當控管的範圍，例如可以部門、系統、業務項目或實體環境來定義所要實施風險控管的範圍，並且建立所需的風險處理計畫。

RI-02 風險管理之評鑑

針對與組織營運有關的風險，這項控制措施要求應至少每年一次進行正式的風險評鑑，以質化或量化的方式，識別所有可能發生和造成業務衝擊的風險。組織可以透過稽核的結果、威脅與弱點分析，以及法規的要求等，建立風險管理的全貌，掌控組織可能隱含或殘餘的風險。在實務方面，建議參照ISO 27001本文4.2的條款內容，界定組織的風險評鑑作法，並定義風險可以接受的等級。在標準之中對風險評鑑方法的要求，在於風險評鑑後所產出的結果，必須是可比較且可再產生的，換句話說，風險評鑑的方法，必須能夠重複地使用，尤其是在不同時期所進行的風險評鑑，其結果都可用來進行相互分析比較，作為未來風險處理與改善的參考。

RI-03 風險管理之消除與接受

一般來說，風險評鑑的過程是從識別可能的風險開始，再依據其發生的可能性與衝擊，計算出風險值並賦予其適合的風險等級，最後選擇可實施的風險控制措施，以降低風險至可以接受的水準。這項雲端控制即是要求所有風險都需要控制至可接受的程度，而可接受的風險水準，則是基於合理的時間處理與管理階層的核可。對此，ISO 27001本文的4.2條款提到，在完成了風險處理之後，所殘留下來的剩餘風險，都必須要取得管理階層的授權與核可，整個的風險處理過程才算完成。

RI-04 風險管理之業務與政策改變衝擊

雲端服務供應商在完成了風險評鑑之後，風險評鑑的結果應該要更新至安全政策、程序與相關的控制措施，以確保其持續的有效。在ISO 27001方面，此項控制可參照ISO 27001本文的4.2.1條款，在制定政策的時候，就需要考量營運與相關法規的要求，還有合約中所制定的資訊安全責任，像是法律要求必須要保障個人隱私、保護重大營運資訊，或是合約中要求必須保護客戶資料等，這些都是設定資安目標時的重要依據與參考。因此，定期實施的風險評鑑，可為組織政策的修訂與更新，提供了一個有效的輸入來源，也就是說，依據風險評鑑的結果，可以進一步更新政策要求，以確保各項風險受到了良好的管理。

RI-05 風險管理之第三方存取

在雲端服務中有關第三方的存取行為，是一項明顯可識別的風險來源，在雲端控制矩陣裡，要求所有存取組織資訊系統與資料的行為，都應該被識別監控，同時評估若有不適當的存取時，可能帶來的業務風險與衝擊。換句話說，在提供這些服務供第三方存取之前，就要優先實施補償性的控制措施，以降低存取行為的安全風險。在ISO 27001方面，可以參考附錄「A.6.2.1 與外部團體相關的風險之識別」，要求透過風險評鑑的過程，找出外部團體對組織資訊的處理和使用時，可能存在的資訊安全風險，像是可存取的資訊類型、人員的識別與授權是否適當等。另外，也可參考「A.8.3.3 移除存取權限」，要求所有員工、承包商和第三方使用者，對於資訊、資訊處理設施的存取權限，應在聘僱、合約或協議終止時移除，或依變更進行調整。最後，還可依據「A.11.1.1 存取控制政策」，基於營運相關的存取安全要求，使用者可能接觸資訊的安全等級，以文件化的存取控制政策，說明如何去配置其存取權限，並以組織整體的營運風險作為優先考量。

＜本文作者：花俊傑，曾任IT雜誌主編、資安顧問，擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證，自詡為資安傳教士，樂於分享資安心得，讀者可透過jackforsec@gmail.com與之聯繫。＞